Microsoft, şirketin Şubat ayındaki Salı Yaması güncellemesinde açıkladığı Exchange Server’daki kritik güvenlik açıklarından birinin aslında saldırganların aktif olarak istismar ettiği bir sıfır gün tehdidi olduğunu belirledi.
CVE-2024-21410 Uzaktaki, kimliği doğrulanmamış bir saldırgana Windows NT Lan Manager (NTLM) karmalarını açığa çıkarması ve ardından Exchange Server’daki meşru kullanıcıların kimliğine bürünmek için aktarması için bir yol sağlayan bir ayrıcalık yükselmesi güvenlik açığıdır.
Hata Etkinleştirilmiş Karma Geçiş Saldırıları
Microsoft, hatayı kritik önemde (10 puanlık CVSS ölçeğinde 9.1) olarak değerlendirdi ancak Salı günü bir düzeltme yayınlarken başlangıçta bunu sıfır gün olarak işaretlemedi. Şirket, çarşamba günü kusura ilişkin tavsiyesini, vahşi ortamda istismar faaliyetlerinin gözlemlenmesine ilişkin bir notla revize etti, ancak başka ayrıntı vermedi.
Şirketin revizyonu, CVE-2024-2140’ı Microsoft’un bu ay açıkladığı üç sıfır gün hatasından biri haline getiriyor. Diğer ikisi CVE-2024-21412bir güvenlik özelliği atlama kusuru Su Hydra adlı tehdit aktörü (diğer adıyla Dark Casino) finansal tüccarlara yönelik saldırılarda kullanılıyor; Ve CVE-2024-21351SmartScreen’de bir bypass güvenlik açığı.
Microsoft’a göre CVE-2024-21410, bir saldırganın NTLM kimlik bilgileri sızdırma saldırısında Outlook gibi bir NTLM istemcisini hedeflemesine olanak tanıyor. Microsoft, “Sızdırılan kimlik bilgileri daha sonra kurban istemcisi olarak ayrıcalıklar kazanmak ve Exchange sunucusunda kurban adına işlemler gerçekleştirmek için Exchange sunucusuna iletilebilir” dedi.
CVE-2024-21410 durumundaki sorun, 13 Şubat güncellemesinden önceki Exchange Server 2019 sürümlerinin varsayılan olarak NTLM geçiş korumalarını veya Kimlik Doğrulaması için Genişletilmiş Korumayı (EPA) etkinleştirmemesiyle ilgilidir. Microsoft, bu koruma olmadan, bir saldırganın sızdırılan NTLM kimlik bilgilerini Outlook gibi hedeflerden Exchange Server’a aktarabileceğini söyledi.
Toplu Güncelleme
13 Şubat güncellemesi – Exchange Server 2019 (veya CU14) için 2024 H1 Toplu Güncelleme (CU) – bu korumayı varsayılan olarak etkinleştirir; bu, onu uygulayan kullanıcıların CVE-2024-21410 tehdidine karşı korunduğu anlamına gelir. Microsoft bir yayınladı Exchange Blog Gönderisi Güncelleme ve çeşitli tehditlere karşı korumaları hakkında daha fazla bilgi için.
Qualys tehdit araştırma laboratuvarlarında güvenlik araştırması yöneticisi Mayuresh Dani, saldırganların hedef alabilecekleri savunmasız Exchange Sunucularını bulma konusunda çok az sorun yaşayacağını söylüyor. Dani, “Son sayımıma göre şu anda halka açık 200.000’den fazla Microsoft Exchange cihazı vardı” diyor. “Bunları otomasyon kullanarak elemek, etkilenen sistemlerin bir listesini çıkarmak için birkaç saat sürecektir.”
Action1’in başkanı ve CEO’su Mike Walters, CU14’ten önceki Exchange Server 2019 sürümlerini kullanan kuruluşların, en son toplu güncellemeyi yüklemenin yanı sıra EPA’yı etkinleştirdiklerinden emin olmaları gerektiğini söylüyor. “Yöneticiler ayrıca Exchange Server 2016 gibi önceki Exchange Server sürümlerinde EP’yi etkinleştirmek için ExchangeExtishedProtectionManagement PowerShell betiğini kullanabilir; bu aynı zamanda sistemleri CVE-2024-21410 düzeltme eklerinin eksik olduğu cihazları hedef alan saldırılara karşı da koruyacaktır.”
Detaylara Dikkat Edin
Ancak Walters, Exchange Sunucularında EP’yi etkinleştirmeden önce yöneticilerin ortamlarını değerlendirmeleri ve Microsoft’un mevcut işlevselliği bozmamak için EP belgelerinde tanımladığı sorunları gözden geçirmeleri gerektiğini tavsiye ediyor.
“Yöneticiler, EP’nin yalnızca NTLMv2 ile TLS 1.2 ve sonraki sürümlerini kullandığının farkında olmalıdır” diyor. Dikkate alınması gereken bir diğer husus, Genişletilmiş Koruma’nın SSL boşaltma kullanan ortamlarda desteklenmemesidir. Benzer şekilde, belirli koşullar altında kuruluşlar Exchange Server 2013 sunucularında, Exchange Server 2016 CU22’de, Exchange Server 2019 CU11 veya daha eski sürümlerde ve Hibrit Aracı ile yayınlanan Exchange sunucularında Genişletilmiş Korumayı etkinleştiremez.
Walters, “Ek sorunlar Microsoft destek web sitesinde açıklanmıştır ve bunlara hazırlıklı olmanız gerekir” diyor. “Bu güncellemenin uygulanmadan önce tamamen test edilmesi gerekiyor.” Kuruluşların, uygun testler yapılmadan güncellemeyi uygulamaya çalışmaması gerektiğini de ekliyor.
Saldırganlar genellikle yanal hareket amacıyla karma geçiş adı verilen yöntemi kullanır. Taktik şunları içerir: bir bilgisayardan kullanıcının NTLM karmasını çalmak ve bunu başka bir bilgisayara, bu durumda bir Exchange Sunucusuna erişmek için kullanmak. Temel çekiciliklerinden biri, taktiğin kullanıcıların hedef sistemde, kullanıcının şifresini bilmeden meşru bir kullanıcı olarak kimlik doğrulaması yapmasına olanak sağlamasıdır.
2023’te Rusya’nın Fancy Bear gelişmiş kalıcı tehdit grubu (diğer adıyla Forest Blizzard ve APT28) benzer bir kusurdan yararlandı (şu şekilde izlendi: CVE-2023-23397) içinde çok sayıda bilgi çalma saldırısı Orta Doğu’daki hükümetleri ve birçok NATO ülkesini hedef aldı. Microsoft’un bir kaynağı var karma geçiş saldırılarına adanmış Saldırı vektörü hakkında daha fazla bilgi edinmek isteyen kuruluşlar için.